6
Fehler bei Verarbeitung der Gruppenrichtlinie
Hallo zusammen,
ich habe heute einen Fehler bemerkt. Und zwar werden bei unseren Benutzern die Gruppenrichtlinien nicht mehr richtig angewendet. Folgende Fehlermeldung entsteht bei einem gpupdate /force:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
2 Dinge habe ich jetzt schon herausgefunden.
1.) Diese Datei -> "{FF519A46-781B-406A-AD77-63DC8A99C8B8}" gibt es gar nicht.
2.) Ich habe dcdiag /test:dns auf unserem DNS-Server ausgeführt und bekam folgende Fehlermeldung:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Users\Administrator.domainname>dcdiag /test:dns
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SrvDC2
ich habe heute einen Fehler bemerkt. Und zwar werden bei unseren Benutzern die Gruppenrichtlinien nicht mehr richtig angewendet. Folgende Fehlermeldung entsteht bei einem gpupdate /force:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
2 Dinge habe ich jetzt schon herausgefunden.
1.) Diese Datei -> "{FF519A46-781B-406A-AD77-63DC8A99C8B8}" gibt es gar nicht.
2.) Ich habe dcdiag /test:dns auf unserem DNS-Server ausgeführt und bekam folgende Fehlermeldung:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.
C:\Users\Administrator.domainname>dcdiag /test:dns
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SrvDC2
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2
Starting test: Connectivity
......................... SRVDC2 hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Standardname-des-ersten-Standorts\SRVDC2
Starting test: DNS
DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige
Minuten...
......................... SRVDC2 hat den Test DNS bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Partitionstests werden ausgeführt auf: DomainDnsZones
Partitionstests werden ausgeführt auf: Schema
Partitionstests werden ausgeführt auf: Configuration
Partitionstests werden ausgeführt auf: domainname
Unternehmenstests werden ausgeführt auf: domainname.de
Starting test: DNS
Testergebnisse für Domänencontroller:
Domänencontroller: SrvDC2.domainname.de
Domäne: domainname.de
TEST: Delegations (Del)
Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
<Nicht verfügbar> [Missing glue A record]
Zusammenfassung der DNS-Testergebnisse:
Auth. Bas. Weiterl. Entf. Dyn.
RReg. Erw.
_________________________________________________________________
Domäne: domainname.de
SrvDC2 PASS PASS PASS FAIL PASS PASS n/a
......................... domainname.de hat den Test DNS
nicht bestanden.
Habt ihr eine Idee, was ich tun könnte? Habe schon einiges gegoogelt und auch schon dieses Forum hier durchstöbert. Ich finde nur nichts, was mir hilft das Problem zu lösen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301931
Url: https://administrator.de/contentid/301931
Ausgedruckt am: 26.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
sind da mehr als 1 DC in dieser Domäne?
Falls ja, existiert diese Datei auf min. einen dieser DC? Falls auch ja: Hier ist offensichtlich die Replikation des SYSVOL gestört. Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird. Als Workaround könntest Du erstmal das betreffende GPO-Verzeichnis
Damit können die Clients & Benutzer erstmal wieder ihre GPO aktualisieren.
Anschließend kümmerst Du Dich um das Replikationsproblem.
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
E.
Edit:
sind da mehr als 1 DC in dieser Domäne?
Falls ja, existiert diese Datei auf min. einen dieser DC? Falls auch ja: Hier ist offensichtlich die Replikation des SYSVOL gestört. Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird. Als Workaround könntest Du erstmal das betreffende GPO-Verzeichnis
\\domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
manuell auf alle anderen DC kopieren.Damit können die Clients & Benutzer erstmal wieder ihre GPO aktualisieren.
Anschließend kümmerst Du Dich um das Replikationsproblem.
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
E.
Edit:
Starting test: DNS
Testergebnisse für Domänencontroller:
Domänencontroller: SrvDC2.domainname.de
Domäne: domainname.de
TEST: Delegations (Del)
Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
<Nicht verfügbar> [Missing glue A record]
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?Testergebnisse für Domänencontroller:
Domänencontroller: SrvDC2.domainname.de
Domäne: domainname.de
TEST: Delegations (Del)
Fehler: DNS-Server: serverdc.domainname. IP: //serverdc ist ein alter DNS-Server, der nicht mehr aktiv ist
<Nicht verfügbar> [Missing glue A record]
vielen Dank für deine Ideen.
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
Kannst du mir sagen, wie ich die GPO identifizieren kann?
Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
Zitat von @emeriks:
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
Wenn da nur ein DC ist, dann musst Du die GPO identifizieren und löschen bzw. neu erstellen.
Kannst du mir sagen, wie ich die GPO identifizieren kann?
Zitat von @emeriks:
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?
Das ist "nur" ein DNS-Problem. Hast Du mehrere DNS-Server und nutzen verschiedene DC verschiedene dieser DNS-Server?
Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Aus dem Nirwana kommt der Eintrag aber nicht
Also noch einmal in den DNS Einstellungen nachsehen, da ist er mit Sicherheit noch vorhanden.Zuerst DCDIAG Fehler beheben, dann mit Replmon überprüfen bis die Replikation sauber läuft und dann erst um die Gruppenrichtlinie kümmern.
LG Günther
Kannst du mir sagen, wie ich die GPO identifizieren kann?
Du hast doch 2 DC. Damit fällt dieser Punkt weg.Hast Du diesen Pfad auf beiden DC überprüft? Hat einer von beiden die betreffenden Dateien?
--> Domänen-FQDN durch DC-FQDN ersetzen
\\dc1.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
\\dc2.domainname.de\sysvol\domainname.de\Policies\{FF519A46-781B-406A-AD77-63DC8A99C8B8}
Ich habe die Replikation jetzt händisch ausgeführt und herausgefunden, dass tatsächlich 2 Elemente gefehlt haben. Leider aber nicht das, welches ich suche.
Es geht nicht um die Domänen-Replikation sondern um die SYSVOL-Replikation. Läuft diese über NtFrs oder über DFS-R?Ja, ich habe 2 DNS-Server im Einsatz und 2 DC. Auf jedem DC ist auch die DNS Rolle installiert und eingerichtet.
Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Welche Zonen hast Du?Mich macht stutzig, dass in dem Test ein alter Server auftaucht, den ich nirgends in der Konfiguration finde.
Welche Namensserver sind dort eingetragen?
Sind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
Sind das AD-integrierte Zonen?
Sorry, dass ich jetzt erst antworte.
Hab die fehlerhaften Gruppenrichtlinien gefunden/gelöscht und das gpupdate läuft wieder. Ebenso habe ich die fehlerhafte Konfiguration im DNS-Server gefunden. Der alte Server war als Host einer Delegierung für eine Nebenstelle eingerichtet. Diese Konfiguration war gar nicht mehr zeitgemäß und wurde einfach vergessen bei einer Umstellung zu löschen.
Daher erstmal vielen Dank für die Hilfe zur Lösung des Problems.
Das sekundäre Problem, dass die SYSVOL-Replikation nicht klappt, scheint wohl weiter zu bestehen. Ich habe bei Server1 aktuell wieder 111 Elemente in \\server1\SYSVOL\DOMÄNE\Policies und 110 in \\server2\SYSVOL\DOMÄNE\Policies.
4 Zonen in den Reverse-Loopupzonen, weil wir auch 4 IP-Adressbereiche haben.
Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
Hab die fehlerhaften Gruppenrichtlinien gefunden/gelöscht und das gpupdate läuft wieder. Ebenso habe ich die fehlerhafte Konfiguration im DNS-Server gefunden. Der alte Server war als Host einer Delegierung für eine Nebenstelle eingerichtet. Diese Konfiguration war gar nicht mehr zeitgemäß und wurde einfach vergessen bei einer Umstellung zu löschen.
Daher erstmal vielen Dank für die Hilfe zur Lösung des Problems.
Das sekundäre Problem, dass die SYSVOL-Replikation nicht klappt, scheint wohl weiter zu bestehen. Ich habe bei Server1 aktuell wieder 111 Elemente in \\server1\SYSVOL\DOMÄNE\Policies und 110 in \\server2\SYSVOL\DOMÄNE\Policies.
Welche Zonen hast Du?
eine Zone für die Domäne in den Forward-Lookupzonen4 Zonen in den Reverse-Loopupzonen, weil wir auch 4 IP-Adressbereiche haben.
Welche Namensserver sind dort eingetragen?
Nur die beiden Domaincontroller/DNS-ServerSind alle Zonen auf beiden DNS-Server vorhanden? (Replikate)
JaSind das AD-integrierte Zonen?
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
Darüber kann ich keine Aussage treffen, weil ich nicht weiß, was du damit meinst :/
Der Typ der Zonen.Ich dachte immer, dass die Replikation sowieso automatisch funktioniert, sobald beide Server Domaincontroller sind.
"Sowieso" und "automatisch" sind Admins Tod.Und: Replikation der Domäne und Replikation des Sysvol sind zwei unabhängige Paar Schuhe. Die Replikation des Sysvol greift zwar auf Informationen im AD zurück, läuft aber sonst vollkommen unabhängig von diesem.
Hängt jetzt davon ab, ob das noch über NtFrs oder bereits über DFS-R repliziert wird.
Dies hatte ich schon mal in den Raum gestellt.
